Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11 (Pagina 1) / Estudio de algoritmos y búsqueda de la nueva brecha / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 16-08-2016 01:38:35

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,303

Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11

¡Verano muy caliente!
Prediciendo, "abusando" y descifrando las llaves de grupo WPA2/802.11*

similar-galleries-bomb-exploding-cartoon-bomb-exploding-clipart-aHr8vI-clipart.gif

* Predicting, Decrypting, and Abusing WPA2/802.11 Group Keys de Mathy VANHOEF y Frank PIESSENS @ USENIX
 
  ¿Estoy soñando? Creo que no... Acabo de pincharme varias veces y tengo hambre.
     Nunca tengo hambre en mis sueños.
Entonces todo esto es real:
Tenemos entre manos un PDF (link arriba) que presenta al mundo lo que podemos objetivamente considerar como la primera brecha WPA2 de la historia.
   Una brecha explotable con material normal y corriente.
    Una brecha potencialmente de gran amplitud: El ataque fue exitoso contra  los dos tipos de chipsets WiFi estudiados; los Broadcom y los Mediatek (aka Ralink)

  No voy a resumir aquí un PDF universitario de 17 paginas antes de todo porque me haría falta volver a leerlo otra y otra vez y de todo modo no llegaría a entender los detalles de las operaciones matemáticas sin que me las explican en detalle..
  Lo que voy a (intentar) hacer es poner el PDF en perspectiva y dar elementos para entender la sustancia del proceso
Para que los más ignorantes (como yo), los que no tienen un diploma de la universidad de Lavania (es la universidad dónde investigan los autores) se hagan una idea sobre lo que acaba de ocurrir.     
  Abrochen el cinturón, nos vamos de excursión en le mundo post apocalíptico WiFi   
   

RC4 NO MORE!

  Mathy VANHOEF y Frank PIESSENS no son unos desconocidos.
   Ya habían llamado la atención con su ataque contra el WPA(1) con TKIP utilizando la debilidad del algoritmo de cifrado RC4: craking rc4 wpa-tkip
   El cifrado rc4 es inseguro ( ilustración con el ataque DROWN:      DROWN: El ataque contra https que afecta 33% de los sitios de la web )
Lo hemos aprendido con el protocolo WEP que es vulnerables a ataques estadísticos 
  Para hacer seguras las redes wifi se ha pasado a WPA pero se ha diseñado varios tipos de WPA.
Uno de estos protocolos fue pensado para permitir la compatibilidad con los puntos de accesos con WEP que no podían manejar el algoritmo de cifrado  AES-CCMP (seguro)
  Así que se montó un WPA híbrido (WPA-TKIP - se refiere a veces a WPA1) que emplea el algoritmo de cifrado RC4 sabiendo que era potencialmente peligroso y que con las mejoras del hardware y de la potencia de calculo sus días eran contados.
  Desde entonces se han publicado trabajos y incluso publicado  herramientas (tkipun-ng) para desarrollar ataques contra el protocolo en si.
  Esta vez los dos investigadores han enfocado de otra forma su estudio.
  No han buscado una debilidad en la PMK (la lave maestra) sino en las llaves de grupos (GMK, GTK)

El talón de Aquilea: El fabricante

  No se si fueron inspirados por el ataque pixiewps pero veréis que hay unas similitudes muy llamativas entre ambos casos.
La estrategia empleada es la misma: Buscar una vulnerabilidad debida a la implementación por parte del fabricante (de chipset wifi)
  Adivinar que: Otra vez los fabricantes fueron negligente a la hora  de "randomisar" las cosas.   
  Es decir: emplearon generadores de números aleatorios previsibles. 
  Lo "curioso" es que como en el caso pixiewps sobre realtek no tuvieron otra idea que emplear el tiempo para cifrar a un momento.   
  Con lo cuál han hecho factible el brute force de las llaves de trabajo.
En el caso broadcom son 2³³ ashes md5: 4 minutos con una beuna tarjeta vídeo 
 

Rogue AP para forzar un "downgrade" WPA

  Acabo de hablar de romper el WPA-TKIP pero hablo en el titulo de cifrado WPA2.
No estoy loco, se trata bien de romper protocolo WPA2. wink
  Para ello es necesario tener un buen adaptador wifi como los que nos gustan  y usar la buena vieja técnica del Rogue AP
  Un Rogue AP es simplemente un punto de acceso falso que podemos crear en una linea de ordenes con airbase-ng
  Debemos crear un punto de acceso con exactamente el mismo bssid (porque estas cadenas se emplean para en el cifrado WPA)
  La única diferencia es que se emplea  cifrado WPA-TKIP en lugar de un WPA con AES  forzando  así a usar RC4 para la creación de las llaves de grupo (que se puede romper como acabamos de ver)
 

Inyectar tramas Unicast con la GMK en lugar de la PMK

  Normalmente no deberíamos poder inyectar trafico sin la PMK porque el cliente no la entendería (le descifrara con la PMK) 
No obstante los investigadores fueron capaces de inyectar paquetes cifrado con la GMK utilizando esta estructura en el encapsulado
addr1 = FF:FF:FF:FF:FF:FF
addr2 = Spoofed sender MAC address
addr3 = Spoofed destination MAC address
  El AP descifra el paquete con la GMK, lo vuelve a cifrar esta vez con la PMK y lo devuelve.
  Podemos cifrar correctamente paquetes sin conocer la PMK utilizando el AP de "traductor"
Se pueden inyectar así paquetes ARP, paquetes IP etc...

Envenenamiento ARP para "downgrade" GMK general

  El punto final del ataque consiste en forzar el cifrado de todo el trafico con la GMK en lugar de la PMK
Se engaña la station para que mande el trafico a su propia dirección mac
De este modo no se cifran los pauquetes con la PMK sino la GMK
  Se hace con envenenamiento de la cache ARP del cliente
El resultado es que la sation usará como dirección para la puerta de enlace  su propia dirección mac (obteniendo así que se cifre con la GMK en lugar de la PMK)

Conclusión

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensaje 6

  Se trata de la amenaza la más seria contra el WPA2 (y el WPA1) que podría revolucionar los ataques WiFi con Rogue AP y Man In The Middle
  Los investigadores han logrado

  1. We show that the 802.11 random number generator is flawed, and break several implementations bypredicting its output, and hence also the group key.
    Encontrar unas vulnerabilidades que permiten predecir los resultados  de los generados de números pseudo aleatorios estudiados (OpenWRT y hostapd se salvan)

  2. We present a downgrade-style attack against the 4-way handshake, allowing one to recover the group key by exploiting weaknesses in the RC4 cipher.
    Poner de pie un ataque Rogue AP para forzar el downgrade de WPA2 a WPA1. Se negocia así el handshake usando el cifrado vulnerable RC4 cuyos resultados son predecibles al momento de crear las llaves de grupo GMK, GTK...(las derivan con un briute force de entre 2 y 4 minutos con nvidia GTX980)

  3. We show that the group key can be used to inject and decrypt any (internet) traffic in a Wi-Fi network.
    Han demostrado que con esta llave de grupo pueden inyectar y finalmente descifrar todo el trafico WiFi en una red

  4. We propose and study a random number generator that extracts randomness from the wireless channel
    Proponen como solución otro generador de números aleatorios

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensaje 6

  La solución propuesta es útil para impedir el ataque en nuevas unidades.
¿Que pasa con la mayoría de los PA ya en actividad?
  Fueron puestos en servicio por los ISP y el cliente final no tiene otro recurso que esperar a que el ISP implemente este genrador en une futura actualización 
   Muchos routeurs de Telefónica, Orange y Vodafone llevan un chispet broadcom o ralink. 
   Jazztell sería menos tocado a primera vista porque los routers ZTE empelados en los últimos años levan un chispet WiFI realtek.
      Esto dicho sabemos que  el generador Realtek para el intercambio Diffie Hellman utiliza... la fecha en segundo (brecha pixiewps realtek)
      No es una buena señal porque es probable que se use el mismo generador o una variante basándose también en el "tiempo" ,
La primera vulnerabilidad del WPA2. Forzando el downgrade; pero en este juego todo vale.
     Se anuncia un verano muy caliente...

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensage 6

Conectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 16-08-2016 08:04:26

Coronel
Usuario

Registrado: 16-08-2016
Mensajes: 13

Re: Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11

Gran trabajo Kcdtv, ya daba por sentado que las posibilidades de hackear redes con cifrado WPA AES iban a reducirse con el tiempo, los diccionarios requieren un gran esfuerzo y con cada nuevo router es empezar de nuevo. Pero si esta brecha se generaliza es el principio de una nueva "era" smile. Un saludo.

Desconectado

#3 16-08-2016 15:13:45

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,303

Re: Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11

¡[email protected] a wifi-libre Coronel! smile
  Es una verdadera bomba. big_smile
El brute force del handshake es una vía muerta si la contraseña es un mínimo correcta, no hace falta que sea buena, solo decente.
  Esto es un enfoque nuevo que rompe los esquemas y permite aprovechar en WPA2 estas debilidades del RC4 que se han estudiado en el WPA-TKIP
   ¡Que arte!

Conectado

#4 16-08-2016 22:16:45

cardi1977
Usuario

Desde: sevilla
Registrado: 17-10-2015
Mensajes: 76

Re: Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11

Cada dia se va aprendiendo algo nuevo,y a la espera de nuevos datos, un saludo,

Desconectado

#5 16-08-2016 23:46:39

dynyly
Usuario

Registrado: 19-04-2015
Mensajes: 295

Re: Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11

salu2
esperando mas noticias sobre esto ....gracias como siempre

Desconectado

#6 18-08-2016 19:34:12

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,303

Re: Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11

Ups...... tongue
Hay un detalle que se me había escapado y, pues, se puede decir que "tiene su importancia" .... big_smile
  Lo dicen al inicio pero luego lo vuelven a mencionar una sola vez en una frase no muy explicita.

We conclude that the 4-way handshake, as defined in the 802.11i standard, is vulnerable to key recovery attacks. However, these attacks seem difficult to pull off against popular implementations.

  Dicen que el handshake es vulnerable (por el dwongrade de WPA2 a WPA1) a un ataque para derivar las llaves de grupo.
  Añaden algo como "No obstante estos ataques parecen difíciles de llevar(...)"
  Es un eufemismo big_smile

  Este nuevo ataque sobre handshake combina un ataque estadístico y un brute force.
Como hemos visto la parte brute force se hace en menos de cinco minutos con una tarjeta gráfica nVidia potente (GTX950)
Es factible  por la previsibilidad de los resultados obtenidos con los generadoras de números pseudoaleatorios implementados por los fabricantes (usan el tiempo/las fecha para "randomizar" pam )

  El problema reside en la parte "ataque estadístico."
  Es como para los ataques contra WEP: Necesitamos un cierto numero de vectores de inicialización  para poder llevar el ataque con exitó
  Lo que significa que necesitamos en este contexto cierto numero de handshakes..
  A estas alturas hay dos methodos, uno que es factible si la KEK es constante, otro factible si la KEK cambia (la KEK es una llave secreta de 16bits)
 

  1. El primer método requiere 2²¹ handshakes para una tasa de éxito de 80%. Son concretamente 2 097 152 de handshakes, que no son pocos.
    El problema es que la llave KEK tiene que ser la misma y que cambiara constantemente si desautentificamos un cliente de un punto de acceso.
    Obtener mas de dos millones de handshakes con una KEK constante es imposible

  2. El segundo método es un método original que crearon (inspirado de ataque PTW contra WEP)  no requiere una KEK constante:
    Podemos usar las herramientas para DoS (desautenticar y obtener un handshake) y "inyectar trafico" (DoS) para acelerar el proceso.
    Para obtener una buena tasa de éxito se necesitan 2³¹ handshakes: 2 147 483 648
      Más de 2 billones de handshakes lo que parece imposible fuera de un escenario de pruebas. Con lo que puede costar pilar un solo handshake... Nada más ni menos que dos billones  big_smile

 

Conclusión   (bis)

:
   Siempre hay que prestar mucha atención a los detalles tongue big_smile
  Es efectivamente una vulnerabilidad nueva y explotable con un material gran publico pero muy difícil (por no decir "imposible") de llevar  "in the wild" (o sea en la vida real big_smile
Pillar dos billones de handshakes... ¡Ni loco! big_smile
  Si los fabricantes no hacen nada al respecto (si dejan estos generadores de números aleatorios que no valen para nada) lo que es ahora una "fisura" se transformará en una brecha con el tiempo.
   Este método tal cuál, sin una mejora (muy substancial) del ataque estadístico, no debería poder aplicarse concretamente. 
   Diciendo esto no hay que infravalorar este trabajo que pone el dedo en dónde duele.
Se lleva más de una década implementando un protocolo que se sabe peligroso como si fuera un parche grosero del WEP.
   La idea de emplear un downgrade WPA/AES > WPA/TKIP para afrentarse a la fortaleza WPA2 es un jugada inspiradora.
   Lo de buscar debilidades no en el protocolo en si sino en su implementación es también un enfoque que ha demostrado ser eficaz (caso pixie dust)
    Aunque sea en "escenario de prueba" llegar hasta dónde llegaron, descifrar un paquete de una red WPA2 entre un Asus et un cliente con windows 7, es una primera.
     ¡Chapeau!

Conectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Pegado:
3 109 Hoy 18:32:37 por kcdtv
28 3115 Hoy 17:51:18 por kcdtv
Juanito A6 se presenta. por juanitoa6
4 37 Hoy 17:35:41 por kcdtv
20 2091 Ayer 22:21:10 por kcdtv
5 77 Ayer 17:56:59 por juanitoa6

Pie de página

Información del usuario

Ultimo usuario registrado: kaotiik
Usuarios registrados conectados: 1
Invitados conectados: 12

Conectados: kcdtv

Estadisticas de los foros

Número total de usuarios registrados: 723
Número total de temas: 879
Número total de mensajes: 7,503

Máx. usuarios conectados: 69 el 15-10-2017 09:23:21